España va con retraso en la transposición formal de la directiva NIS 2 (UE) 2022/2555, pero el efecto en el mercado de seguridad privada ya se nota: los operadores esenciales del Anexo I están actualizando los pliegos de servicios externalizados antes de que el Real Decreto definitivo llegue al BOE. Si tu empresa presta vigilancia a un hospital, un operador eléctrico, un suministrador de agua, una infraestructura de transporte o un proveedor de servicios cloud español, el cliente te va a pedir cosas nuevas en la próxima renovación.
Este post explica qué cambia, qué afecta a la operativa de rondas y qué evidencia conviene tener preparada.
A quién aplica NIS 2 (y por qué te toca aunque no seas operador)
La directiva NIS 2 amplía el ámbito de NIS 1 a más sectores y baja el umbral de tamaño. El Anexo I (sectores de alta criticidad) cubre energía, transporte, banca, infraestructuras del mercado financiero, sanidad, agua potable y de saneamiento, infraestructura digital, gestión de servicios TIC, administración pública y espacio. El Anexo II (sectores críticos) añade servicios postales, gestión de residuos, fabricación, producción y distribución de productos químicos, agroalimentaria, dispositivos médicos, electrónica, maquinaria y vehículos.
Tú probablemente no eres entidad obligada NIS 2 directamente. Pero las entidades obligadas están exigidas por el artículo 21 a "garantizar un nivel apropiado de seguridad de las redes y los sistemas de información en la cadena de suministro". El control físico del perímetro y los accesos de tu empresa de seguridad pasa a formar parte del programa NIS 2 del cliente.
En la práctica, los pliegos de 2026 que estamos viendo incluyen tres tipos de exigencia nueva:
1. Trazabilidad de accesos físicos al perímetro del operador. Bitácora digital de cada ronda, con identidad del vigilante, marca de tiempo, geolocalización y zona. Sin papel.
2. Notificación de incidentes con SLA del operador. Si el vigilante detecta una intrusión, una puerta forzada o un acceso no autorizado, la notificación al puesto de mando del operador debe llegar en menos del SLA definido por la entidad obligada (típicamente 24 horas para incidentes significativos según el art. 23 NIS 2; muchos clientes exigen mucho menos).
3. Evidencia preparada para el supervisor. El supervisor competente en España va a ser el INCIBE-CERT a través del CCN-CERT para el sector público y el ICAM para sectores específicos. La evidencia que pidan al operador la va a tener que demostrar la cadena de proveedores; si tú no tienes los logs, el operador no puede contestar.
Qué exige esto a la operativa de rondas
Tres cambios concretos:
- Modo offline real. Polígonos industriales, sótanos eléctricos y plantas de tratamiento operan en zonas con cobertura inestable. Una app cloud-only pierde datos en cada turno y no satisface la trazabilidad NIS 2.
- Geolocalización de cada checkpoint. El simple escaneo NFC no basta cuando el cliente pide demostrar que la ronda se hizo dentro del perímetro definido. La firma combinada NFC + GPS es la que aguanta una inspección.
- Exports en formato auditable. PDF firmado por escaneo, con ID de vigilante, hora UTC y zona. Los exports en CSV sin firma se descartan al primer audit.
El error más común en pliegos de 2026
Los pliegos están copiando texto del considerando 95 de NIS 2 sin entender qué evidencia operativa requiere. Vemos clientes que escriben "cumplimiento NIS 2" en el pliego como si fuera una etiqueta — y luego no saben qué pedir cuando la inspección llega. Si te toca interpretar un pliego ambiguo, dos preguntas que aclaran rápido:
- ¿Qué SLA de notificación de incidentes esperáis? Si el cliente no lo sabe, fija tú el de 24 horas alineado con el art. 23.
- ¿Qué formato de export aceptáis para la evidencia trimestral? Si la respuesta es "PDF firmado", documenta tu plataforma. Si es "Excel", subes el listón tú.
Qué ofrecemos en softwarerondas.com
La plataforma cumple los tres requisitos operativos: modo offline 100% (la única en el mercado español que documenta sincronización end-to-end), checkpoints de doble factor NFC + GPS, y exports PDF firmados por escaneo aceptables ante INCIBE y CCN-CERT. La transición desde papel se hace en 2 a 4 semanas para sitios de hasta 50 vigilantes.
El Real Decreto de transposición se espera publicar en el primer semestre de 2026. Mejor adelantarse al primer pliego que te pille a contrapié.
Para profundizar
- /nis2-control-rondas — pillar regulatorio NIS 2 con cobertura de Anexo I, II y supervisor competente.
- /sector-industrial — sector industrial con foco NIS 2 Anexo I-B.
- Directiva (UE) 2022/2555 — texto consolidado.